Panoramica Funzionalità Come allegare le autorizzazioni Considerazioni Inizia a usare

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concedi agli utenti IAM l'accesso a Kubernetes con le voci di accesso EKS

Questa sezione è progettata per mostrare come gestire l'accesso principale IAM ai cluster Kubernetes in Amazon Elastic Kubernetes Service (EKS) utilizzando voci di accesso e policy. Troverai dettagli sulla modifica delle modalità di autenticazione, la migrazione da aws-auth ConfigMap voci precedenti, la creazione, l'aggiornamento e l'eliminazione delle voci di accesso, l'associazione delle politiche alle voci, la revisione delle autorizzazioni delle policy predefinite e i prerequisiti e le considerazioni chiave per la gestione sicura degli accessi.

Panoramica

Le voci di accesso EKS sono il modo migliore per concedere agli utenti l'accesso all'API Kubernetes. Ad esempio, puoi utilizzare le voci di accesso per concedere agli sviluppatori l'accesso all'uso di kubectl. Fondamentalmente, una voce di accesso EKS associa un set di autorizzazioni Kubernetes a un'identità IAM, ad esempio un ruolo IAM. Ad esempio, uno sviluppatore può assumere un ruolo IAM e utilizzarlo per autenticarsi in un cluster EKS.

Funzionalità

Autenticazione e autorizzazione centralizzate: controlla l'accesso ai cluster Kubernetes direttamente tramite Amazon APIs EKS, eliminando la necessità di AWS passare da Kubernetes a Kubernetes per le autorizzazioni degli utenti. APIs
Gestione granulare delle autorizzazioni: utilizza le voci e le policy di accesso per definire autorizzazioni granulari per i principali IAM, inclusa la modifica o la revoca dell'accesso da amministratore del cluster al creatore. AWS
Integrazione con strumenti IaC: supporta strumenti di tipo AWS CloudFormation Infrastructure as code come Terraform e CDK per definire le configurazioni di accesso durante la creazione del cluster. AWS
Ripristino di configurazione errata: consente di ripristinare l'accesso al cluster tramite l'API Amazon EKS senza accesso diretto all'API Kubernetes.
Sovraccarico ridotto e sicurezza avanzata: centralizza le operazioni per ridurre il sovraccarico AWS sfruttando al contempo funzionalità IAM come la registrazione degli audit e l'autenticazione a più fattori. CloudTrail

Come allegare le autorizzazioni

Puoi allegare le autorizzazioni Kubernetes per accedere alle voci in due modi:

Utilizza una politica di accesso. Le politiche di accesso sono modelli di autorizzazioni Kubernetes predefiniti gestiti da. AWS Per ulteriori informazioni, consulta Rivedi le autorizzazioni dei criteri di accesso.
Fai riferimento a un gruppo Kubernetes. Se associ un'identità IAM a un gruppo Kubernetes, puoi creare risorse Kubernetes che concedono le autorizzazioni al gruppo. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Considerazioni

Quando abiliti le voci di accesso EKS sui cluster esistenti, tieni presente quanto segue:

Comportamento legacy dei cluster: per i cluster creati prima dell'introduzione delle voci di accesso (quelli con versioni iniziali della piattaforma precedenti a quelle specificate nei requisiti della versione della piattaforma), EKS crea automaticamente una voce di accesso che riflette le autorizzazioni preesistenti. Questa voce include l'identità IAM che ha originariamente creato il cluster e le autorizzazioni amministrative concesse a tale identità durante la creazione del cluster.
Gestione delle versioni precedenti aws-auth ConfigMap: se il cluster si affida alla versione precedente aws-auth ConfigMap per la gestione degli accessi, dopo aver abilitato le voci di accesso viene creata automaticamente solo la voce di accesso per il creatore del cluster originale. I ruoli o le autorizzazioni aggiuntivi aggiunti a ConfigMap (ad esempio, ruoli IAM personalizzati per sviluppatori o servizi) non vengono migrati automaticamente. Per risolvere questo problema, crea manualmente le voci di accesso corrispondenti.

Inizia a usare

Determina la policy IAM Identity and Access che desideri utilizzare.
- Rivedi le autorizzazioni dei criteri di accesso
Abilita EKS Access Entries sul tuo cluster. Conferma di avere una versione della piattaforma supportata.
- Modificare la modalità di autenticazione per utilizzare le voci di accesso
Crea una voce di accesso che associ un'identità IAM all'autorizzazione Kubernetes.
- Creare voci di accesso
Effettua l'autenticazione nel cluster utilizzando l'identità IAM.
- Configurazione della AWS CLI
- Configurazione kubectl e eksctl

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso all'API Kubernetes

Associa le politiche di accesso